連載
» 2015年11月24日 08時00分 UPDATE

伊藤塾長の「実践マイナンバー 早わかり3分講座」:第12回 情報漏えい時、事業者が対応すべき3つのこと

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「個人情報などを漏えいしてしまった場合の対策」です。

[伊藤健二&大橋恵子(パイプドビッツ),ITmedia]

この連載について

 ※本連載は、今回からITmedia エンタープライズから「ITmedia ビジネスオンライン」に引っ越ししました。過去の記事はバックナンバーからご覧頂けます。

 2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

 本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。


塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)

si_my3min-01-01b.gif

パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。


ゲスト:三輪信雄氏(S&J株式会社 代表取締役社長)

si_my3min-09-01.gif

株式会社ラックの代表取締役社長として、日本の情報セキュリティ市場を開拓するとともに、Windows製品などに脆弱性を発見し、セキュリティパッチを発行させるといったセキュリティ技術者やセキュリティ製品開発の経験も併せ持つ。現在は現在はS&J株式会社の代表取締役社長を務めるほか、総務省最高情報セキュリティアドバイザーや政府関連の委員会の委員を務めるセキュリティの専門家。


進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)

si_my3min-01-02b.gif

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。



oh-a.jpg

大橋 セキュリティの専門家であるS&Jの三輪社長をゲストにお迎えして解説するのは、これが最終回となります。今回は、情報漏えい時の対策についてお伺いします。

 なお、万が一情報漏えい事案が発生した場合の対応については、第8回でも特定個人情報保護委員会から出されたパブリックコメントと委員会の考え方について整理しています。


it-e.jpg

伊藤 今回もよろしくお願いします。

 第8回では、パブリックコメントに対する具体的な漏えいが起こり得る場面の想定を中心に解説していますが、今回は漏えい事案が起こった場合の対応と、漏えいに備えて事業者が対策しておくべきことを中心に、三輪社長と進めていきましょう。


mw-e.jpg

三輪氏 よろしくお願いします。

 もし、特定個人情報などを漏えいしてしまった場合に事業者が対応すべきことは「調査」「謝罪」「報告」の3点です。


it-b.jpg

伊藤 では、今回は3つのフェーズごとに何をすべきかという観点で進めていきます。まず、最初に「調査」ですが、具体的にはどのような対応が想定されますでしょうか。


mw-b.jpg

三輪氏 万が一、特定個人情報が漏えいしたときの場合ですが、事実関係を調査することで、漏えいした原因と影響範囲の特定作業を行う必要があります。

 ガイドラインでは、「取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録する」という一文がありますが、日々の運用の中でシステムログや利用実績を記録しておく必要があります。

 これには、PCへのアクセスログや、閲覧した担当者と範囲などを含めた利用状況を含みます。調査にあたっては、この記録をもとに、「いつ」「誰の特定個人情報などが」「どのように」漏えいしたのかを調査することで、漏えいした範囲を特定するとともに、その原因を追求します。


it-a.jpg

伊藤 調査の全ての基本は「ログ」にあるということですね。


mw-b.jpg

三輪氏 その通りです。ログを網羅的に取得しておかなければ原因追究のための調査ができなくなりますので、ログの取得はとても重要なのです。

 収集から保管・利用時にシステムを利用したとしても、PCのアクセスログやPCの中に特定個人情報が暗号化もされずに保管されていないか、といった部分まで監視できる体制があると良いでしょう。

 また、見落としがちですが、ガイドラインには「ログなどの分析を定期的に行い、不正アクセスなどを検知する」とありますので、ログを取得するだけではなく、分析を行い、分析結果も記録として残しておきましょう。


it-b.jpg

伊藤 調査後は「謝罪」とありますが、影響範囲の特定ができないと謝罪もできないということですね。


mw-b.jpg

三輪氏 その通りです。従って、影響範囲が特定できないとなった場合は、可能性のある人全てに謝罪することになるでしょう。


it-a.jpg

伊藤 次は「報告」とありますが、具体的にはどのように進めていくのでしょうか?


mw-b.jpg

三輪氏 調査を実施し原因の究明をすることで、その漏えい事案がなぜ発生したのかを追求することになります。

 その後、追求した原因に対して再発防止策を検討していきますので、原因の究明は再発防止策を検討できるレベルで詳細に追求できていることが重要です。


it-b.jpg

伊藤 例えば「社内の管理体制上でチェックする仕組みに漏れがある」「社外からの不正アクセスを受けたとき、そもそもPC内に特定個人情報が暗号化されずに残せる構造となっていた」というようなことですね。


mw-b.jpg

三輪氏 そうです。

 原因、影響範囲、再発防止策をまとめて、主務大臣に報告することになります。個人情報取扱事業者以外の事業者や主務大臣を直ちに特定できない個人情報取扱事業者は、特定個人情報保護委員会に報告します。

 なお、主務大臣に報告をすると、報告を受けた主務大臣はその旨を特定個人情報保護委員会に通知します。


it-a.jpg

伊藤 そうすると、特定個人情報などの漏えいがあった場合、必ず特定個人情報保護委員会に漏えいした事案の情報が集約される仕組みとなっているわけですね。


mw-d.jpg

三輪氏 はい。

 その後、特定個人情報保護委員会から、世間に対して漏えい事案について公表される流れとなります。

 ここでのポイントは、特定個人情報などを漏えい事業者は「速やかに報告するように努める」とガイドラインにありますので、事実関係の調査→原因の究明→影響範囲の特定→再発防止策の決定までを速やかに行ってください。


it-a.jpg

伊藤 万が一、特定個人情報などを漏えいした場合、担当者は原因究明に追われることになりそうですね。


mw-a.jpg

三輪氏 そうなるでしょう。

 また、二次被害など拡大も防止する必要がありますので、原因の究明はスピードが求められるでしょう。


it-b.jpg

伊藤 このように流れを見ると、日々の運用の中できちんとログを残せる体制作りが非常に大切ということになりますね。


mw-a.jpg

三輪氏 システムを導入する企業は、システム内の利用状況やアクセスログを自動的に記録しておいてくれるので問題ないと思います。

 Excelで管理すると決めた場合は、PCなど端末の監視が重要になるでしょう。人為的にログを消せるような仕組みでは、正しいログを即時に取得できないため問題となりそうですが。

 逆に、「全て紙で管理し、金庫で保管します」という管理を行う場合、まとめて持ち出すには、コピーするか、紙そのものを持ち出すしかなくなりますので、セキュリティ対策の範囲は絞りやすいと言えます。


it-e.jpg

伊藤 なるほど。そうすると、紙で管理をするには収集対象数が多すぎ、かつシステムを導入せずにExcelなどで管理する事業者はログの取得方法がポイントになるということですね。


mw-a.jpg

三輪氏 その場合は、PCなどに監視ツールを導入し、責任者がアクセス状況、利用状況を把握できるようにすることに加え、ウイルスやマルウェアへの感染状況まで監視できるようにすると良いと思います。


oh-a.jpg

大橋 まとめると、どのような管理手法を選択したとしても、それぞれの管理手法にあったログの取得が重要ということですね。


mw-a.jpg

三輪氏 そうなります。

 第9回から合計4回にわたって、特にセキュリティ対策の観点から解説していきましたが、ぜひ読者のみなさまには特定個人情報を漏えいしないための体制を整えて頂ければと思います。


oh-a.jpg

大橋 三輪社長、伊藤先生、ありがとうございました。

 次回は、収集が本格的に始まる前の「事務取扱担当者への教育」についてお伝えしていきたいと思います。


今回のおさらい

photo
  • 日々の運用時からアクセスログや利用状況を記録するとともに、定期的に分析を行い、分析結果も記録しておきましょう。
  • 漏えい事案が発生した際に速やかに原因究明から再発防止策が立てられるように社内の組織体制を改めて見直しておきましょう。

マイナンバー実務に関わる最新情報

  • 11月6日に、マイナンバー(個人番号)をかたる不審な事案について、特定個人情報保護委員会から、内閣府や消費者庁、総務省との連名による注意喚起文が公表されています。

<information> ※追加

今回の記事でも触れている「監視ツール」について、S&J株式会社が開発元となった「My SOC」ではマイナンバーが安全に取り扱われているか、端末がマルウェアに感染していないかを監視することができます。

サービスの紹介はこちらから



<Information>マイナンバーセミナーのご案内

photo

 パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

 詳細やお申込は<こちら>から。


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

新着記事

Loading

注目のテーマ

マーケット解説

- PR -